Klagerecht
gegen den
EDSA.
Klagerecht
gegen den
EDSA.
von
Eine EU-Behörde trifft weitreichende Entscheidungen über Datenschutzverstöße und Bußgelder in Millionenhöhe. Darf das betroffene Unternehmen sich dagegen nicht wehren? WhatsApp hat das nicht akzeptiert und den Fall bis vor die höchste Instanz getragen. Was bedeutet das Urteil für den Rechtsschutz von Unternehmen im europäischen Datenschutzrecht?
Worum geht’s?
Die irische Datenschutzbehörde verhängt gegen WhatsApp eine Geldbuße von 225 Millionen Euro, weil der Messengerdienst seine Nutzer nicht ausreichend über die Verwendung ihrer Daten informiert hat. Grundlage dafür ist ein verbindlicher Beschluss des Europäischen Datenschutzausschusses (EDSA). Der EDSA hatte die irische Behörde in mehreren Punkten überstimmt. Er stellte zusätzliche Verstöße fest und verlangte höhere Bußgelder. WhatsApp klagt gegen diesen Beschluss. Das Gericht der EU (EuG) weist die Klage als unzulässig ab, denn der EDSA-Beschluss sei nur ein Zwischenschritt und somit nicht isoliert angreifbar.
Der EuGH musste nun entscheiden, ob ein Unternehmen einen Beschluss des EDSA direkt vor den EU-Gerichten anfechten kann, obwohl dieser Beschluss formal nur an die nationalen Datenschutzbehörden gerichtet ist.
Der Fall
WhatsApp Ireland Ltd. betreibt den Messengerdienst „WhatsApp“ in Europa mit Sitz in Irland. Nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) gingen bei der irischen Datenschutzbehörde (DPC) Beschwerden von Nutzern und Nichtnutzern über WhatsApps Umgang mit persönlichen Daten ein. Auch die deutsche Datenschutzbehörde schaltete sich ein. Ende 2018 begann die DPC eine förmliche Untersuchung, ob WhatsApp seine Nutzer ausreichend darüber informiert, welche Daten es erhebt und was damit geschieht.
Weil WhatsApp seinen Sitz in Irland hat, war die irische Behörde federführend zuständig. Sie erarbeitete einen Entscheidungsentwurf und legte ihn Ende 2020 den anderen beteiligten europäischen Datenschutzbehörden vor. Acht davon waren mit Teilen des Entwurfs nicht einverstanden. Da keine Einigung erzielt werden konnte, verwies die irische Behörde die strittigen Punkte an den EDSA – das Gremium, das in solchen Fällen als Schiedsstelle fungiert.
Im Juli 2021 entschied der EDSA und überstimmte die irische Behörde in mehreren wesentlichen Punkten: Er stellte zusätzliche Datenschutzverstöße fest, stufte bestimmte verschlüsselte Daten (sogenannte „lossy hashed data“) als persönliche Daten ein, verkürzte die Frist für WhatsApp, seine Praxis zu ändern, von sechs auf drei Monate und ordnete deutlich höhere Bußgelder an. Die irische Behörde setzte diese Vorgaben um und verhängte im August 2021 Geldbußen von insgesamt 225 Millionen Euro gegen WhatsApp.
WhatsApp wehrte sich auf zwei Wegen: Gegen die endgültige Entscheidung der irischen Behörde klagte das Unternehmen vor einem irischen Gericht. Gegen den EDSA-Beschluss selbst klagte es vor dem Gericht der EU (EuG) in Luxemburg. Das EuG wies diese zweite Klage jedoch ab, ohne sie inhaltlich zu prüfen. Der EDSA-Beschluss sei nur eine Zwischenentscheidung, die nicht eigenständig angefochten werden könne. Dagegen legte WhatsApp Rechtsmittel beim EuGH ein.
Die Entscheidung des EuGH
Der EuGH (Urteil vom 10.02.2026 – Az. C-97/23 P) gab WhatsApp recht und hob die Entscheidung des EuG auf. Seine Begründung stützt sich auf drei Kernpunkte.
Der EDSA-Beschluss ist ein eigenständig anfechtbarer Rechtsakt
Das EuG hatte argumentiert, der EDSA-Beschluss sei nur ein Zwischenschritt in einem mehrstufigen Verfahren. Erst die endgültige Entscheidung der nationalen Datenschutzbehörde schließe das Verfahren ab – und nur diese könne angefochten werden.
Der EuGH sieht das grundlegend anders: Ob ein Rechtsakt vor den EU-Gerichten angefochten werden kann, hängt davon ab, ob er bindende Rechtswirkungen entfaltet. Das ist beim EDSA-Beschluss der Fall: Er ist für die nationalen Datenschutzbehörden verbindlich und legt die Position des EDSA abschließend und endgültig fest. Die nationale Behörde muss ihre endgültige Entscheidung auf seiner Grundlage treffen. Dass der Beschluss nicht die allerletzte Stufe des Verfahrens ist, macht ihn nicht zu einer bloßen Zwischenmaßnahme. Und ob er gegenüber WhatsApp direkt vollstreckbar ist, spielt für diese Frage keine Rolle.
Diese Entscheidung stellt einen Rechtsakt eines EU-Organs dar, der gegenüber Dritten Rechtswirkungen entfalten soll und die endgültige Position dieses Organs zu den von ihm zu entscheidenden Punkten zum Ausdruck bringt. (…) Somit stellt diese Entscheidung (…) einen anfechtbaren Rechtsakt dar, ohne dass zum gegenwärtigen Zeitpunkt geprüft werden muss, ob diese Entscheidung eine deutliche Änderung der Rechtslage von WhatsApp bewirkt hat.
WhatsApp ist unmittelbar betroffen
Um vor den EU-Gerichten klagen zu können, muss ein Unternehmen von dem angegriffenen Rechtsakt unmittelbar und individuell betroffen sein. Das EuG hatte die unmittelbare Betroffenheit verneint: Der EDSA-Beschluss sei nicht direkt gegen WhatsApp vollstreckbar, und die irische Behörde habe bei der Umsetzung noch eigenen Spielraum gehabt.
Der EuGH widerspricht auch hier. Zum einen hat der EDSA-Beschluss WhatsApps Rechtsstellung verändert: Das Unternehmen musste infolge der Feststellungen seine Vertragsbeziehungen mit den Nutzern anpassen. Zum anderen hatte die irische Behörde bei den zentralen Punkten keinen Spielraum: Sie konnte von den Feststellungen des EDSA nicht abweichen – weder bei der Frage, welche Datenschutzverstöße vorlagen, noch bei der Einstufung bestimmter Daten als persönliche Daten, noch bei der Pflicht, die Bußgelder zu erhöhen. Dass die irische Behörde darüber hinaus eigene Feststellungen treffen konnte, die nicht vom EDSA-Beschluss abgedeckt waren, ändert daran nichts.
Parallele Verfahren sind kein Hindernis
Wenn WhatsApp den EDSA-Beschluss in Luxemburg und die nationale Entscheidung in Irland anfechten kann, entstehen parallele Gerichtsverfahren. Der EuGH sieht darin aber kein Problem. Er verweist auf bewährte Koordinierungsmechanismen, nämlich dass das irische Gericht sein Verfahren aussetzen muss, wenn die Gültigkeit des EDSA-Beschlusses für seine Entscheidung relevant ist. Und wenn dem EuGH gleichzeitig eine Vorabentscheidungsfrage und eine Nichtigkeitsklage zu derselben Sache vorliegen, kann er das Vorabentscheidungsverfahren zugunsten des Nichtigkeitsverfahrens aussetzen.
Auswirkungen des Urteils
Die Entscheidung eröffnet einen neuen, direkten Rechtsschutzweg. Unternehmen, die von einem verbindlichen Beschluss des EDSA betroffen sind, können diesen Beschluss künftig direkt vor dem EuG in Luxemburg anfechten. Bisher waren sie darauf angewiesen, die endgültige Entscheidung der nationalen Datenschutzbehörde vor den nationalen Gerichten anzugreifen und darauf zu hoffen, dass das nationale Gericht die Frage der Gültigkeit des EDSA-Beschlusses dem EuGH vorlegt. Jetzt können sie den Beschluss direkt angreifen. Dabei ist allerdings die Frist von zwei Monaten nach dessen Veröffentlichung auf der Website des EDSA zu beachten.
Der EDSA muss künftig damit rechnen, dass seine Beschlüsse nicht nur durch die Aufsichtsbehörden, sondern auch durch die betroffenen Unternehmen gerichtlich überprüft werden. Das dürfte die Anforderungen an die Begründung solcher Beschlüsse erhöhen.
Fazit
Der EuGH stellt klar, dass der EDSA nicht in einem rechtsschutzfreien Raum agiert. Seine verbindlichen Beschlüsse können direkt vor den EU-Gerichten angefochten werden und zwar ohne den Umweg über die nationalen Behörden und Gerichte.
Für die Frage, ob ein Rechtsakt überhaupt anfechtbar ist, kommt es allein auf seinen objektiven Inhalt an und nicht darauf, wie er sich auf den Kläger auswirkt. Damit korrigiert der EuGH einen Fehler des EuG, das beide Fragen miteinander vermengt hatte.
Das EuG muss jetzt entscheiden, ob der EDSA-Beschluss auch in der Sache rechtmäßig war. Erst dann wird sich zeigen, ob insbesondere die Einstufung bestimmter verschlüsselter Daten als personenbezogene Daten und die deutliche Erhöhung der Bußgelder einer gerichtlichen Überprüfung standhalten.
Wir beraten
Sie gerne zum
Datenschutzrecht!
